wwwznv32.exe, help

[леха21]

сегодня стал подглючивать комп играя в игру ни разу такого не было сразу понял что что то не то , заглянул в диспетчер увидел этого виновника svchost.exe , (wwwznv32.exe) стал разбираться и дело до шло до вас ! помогите пожалуйста цурейтом проверял обновленным нашел 4 вируса но не эти .стоит панда бесплатная интернет секюрити 2010. вот сделал логи как все написано в инструкциях если что не правильно поправляйте.надееюсь на вас господа!

[thyrex]

Панду перед выполнением рекомендаций отключить

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=d:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\71ti4bk.exe,d:\windows\system32\7069f500.exe,D:\WINDOWS\system32\90a5fbd0.exe,
O4 - Startup: wwwznv32.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\лёха\Рабочий стол\Лёха\инет\Alawar.rar','');
 QuarantineFile('d:\windows\system32\7069f500.exe','');
 TerminateProcessByName('d:\documents and settings\лёха\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 QuarantineFile('d:\documents and settings\лёха\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
 DeleteFile('d:\documents and settings\лёха\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
 DeleteFile('d:\windows\system32\7069f500.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[леха21]

ребята вот что получилось! wwwznv32.exe в процессах висит всеравно, svchost.exe все еще жрет 50 цп

вот логи прикрепил снизу Malwarebytes' Anti-Malware
рист выдает ошибку при искании хайджека
---------------------------
AutoIt Error
---------------------------
Line -1:


Error: Subscript used with non-Array variable.
---------------------------
ОК
---------------------------
что делать?

[thyrex]

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{10a2afe5-a6c3-46a9-a3e9-dfbe934afcbb} (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{1b1d0286-1a03-4e7d-a5e1-022054cda9e3} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{375c22ae-f0b0-47c3-ba60-baff0806434a} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{dcbb729a-dc7b-4c5b-82ce-158bb801e96c} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> No action taken.
HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ffvalidator (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.ieadapter (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.steadway (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwband (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\steadway.stwdialogs (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.context (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.filterdebugger (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.match (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.regexp (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaycookie (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayerror (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayfilterrate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayrequest (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwayserver (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.steadwaysiterate (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\tmagent.urlscriptlet (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.

Зараженные папки:
D:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.

Зараженные файлы:
D:\Documents and Settings\лёха\Рабочий стол\avz4\avz4\Quarantine\2010-07-18\avz00003.dta (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\лёха\Рабочий стол\avz4\avz4\Quarantine\2010-07-18\bcqr00005.dat (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\лёха\Рабочий стол\avz4\avz4\Quarantine\2010-07-18\bcqr00006.dat (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
D:\Documents and Settings\лёха\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
D:\Documents and Settings\All Users\Application Data\srtserv\set.dat (Worm.AutoRun) -> No action taken.

Сделайте новый лог МВАМ + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[леха21]

лог МВАМ сделал а вот лог ComboFix нет, в начале выдает че то и не работал хоть и комп не подвисал скриншот есть потом после перезагрузки он что то начал делать скачал какие то дравера чтоли только для виндос хр хоме едишон , потом че то повыполнял и как кто опять остановился и не пахал незнаю че делать даже ! все еще цп 50 и вирус все еще остался

[thyrex]

В безопасном режиме ComboFix попробуйте

[леха21]

о щас попробую.

Добавлено через 4 часа 1 минуту

вообщем вот чем все закончилось та прога кобмбо фикс через безопаску комп не вкл презезагружался!!!думал думал и придумал открыл я тотал командер нашел виновника и предпринял такие действия удаляю незя говорит тогда я снял процесс свчхост и минута мне дается чтоб завершить все процеессы до этого я вручную нашел в реестре запись wwwznv32.exe и удалил его вот значит за эту минуту у мя открыт тотал я удаляю его без проблем и все эврика без всяких заморочек вируса не стало
что мне делать теперь !у меня щас появился после ваших програм процеесс services.exe он жрет оперативу около 9-10 цп пытаюсь снять он говорит что незя :это критический системный процесс

Добавлено через 22 минуты

кстати и помоему это вирус!

[леха21]

вот лог хайджека гляньте

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\1af00570.exe,D:\WINDOWS\system32\jhbpkk.exe,

[polword]

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

- вот такой лог сделайте

[леха21]

не помогло services.exe все еще висит и стал больше жрать оперативы 35цп а также процесс от панды:TPSrv.exe стал есть 20цп
блин откуда они тока берутся все эти виры , также попадался на глаза не давно rout.exe после презагрузки пропал, а рист не работает писал же вить выше!!!из за комбофикса мне кажется эти вирусы нахватал и ваше он тож фиг поими как работает одни ошибки из за него и зависания! может есть другой путь удаления вируса !
лог хайджека прикрепил опять новый!

[thyrex]

Панду отключали при попытке создать лог ComboFix?

[леха21]

да отключал панду!

[thyrex]

Деинсталлируйте Панду и попробуйте сделать лог ComboFix